# Publikacja wykazu i jego znaczenie
Dnia 8 lipca 2019 r. został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Dzień później pojawiła się informacja na stronie Internetowej UODO. Was hat es damit auf sich?
Zgodnie z art. 35 ust. 4 RODO Organ Nadzorczy (w Polsce: PUODO) ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Ogłoszony wykaz zawiera 12 kategorii rodzajów operacji przetwarzania wraz z przykładami operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz przykładami potencjalnych obszarów obejmujących te operacje.
Als allgemeine Regel gilt, dass eine Verarbeitung, die mindestens zwei der angegebenen Kriterien erfüllt wird eine Datenschutz-Folgenabschätzung erforderlich sein. W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. Wykaz może dotyczyć działalności każdego przedsiębiorcy, chociaż pojawiają się w nim przykłady właściwe dla konkretnych branży.
Vereinfachung: Wenn ein Factoring-Unternehmen personenbezogene Daten in der Art und Weise und mit den Methoden verarbeitet, die in der Liste aufgeführt sind, sollte ein spezielles internes Verfahren mit einer Datenschutz-Folgenabschätzung (Data Protection Impact Analysis, DPIA) ausgearbeitet oder zumindest als notwendig erachtet werden.
# Jakie przykłady ryzykownego przetwarzania danych osobowych znajdziemy w wykazie
- Firma przetwarzająca dane lokalizacyjne pracownika – zarówno co do jego stanowiska pracy, miejsca pracy, samochodu, miejsca pobytu;
- Firma monitorująca czas pracy pracowników z wykorzystaniem analizy np. poczty elektronicznej;
- Firma stosująca system rozpoznawania twarzy albo głosu/odcisków palców celem weryfikacji dostępu / tożsamości (np. zakład pracy, hotel, biuro);
- Firma stosująca system do zgłaszania nieprawidłowości typu whistleblowing;
- Firma stosująca system RFID (np. wjazd na teren firmy z karty) w przypadku, gdy znaczniki/etykiety są lub mogą być przypisane osobom fizycznym;
- Klub fitness zbierający dane dot. zdrowia klientów;
- Zakład medyczny/laboratorium oferujący diagnostykę genetyczną;
- Firma marketingowa tworząca profile osób w oparciu o dane osobowe z różnych źródeł;
- Firma pożyczkowa oceniająca klienta z wykorzystaniem algorytmów sztucznej inteligencji / tzw. automatów scoringowych;
- Firma pożyczkowa podejmująca decyzje kredytowe w oparciu o informacje z baz danych o dłużnikach, albo analizę budżetu domowego;
- Firma headhunterska profilująca potencjalnych łowionych pracowników na FB;
- Firma ubezpieczeniowa która chce różnicować wysokość składki w oparciu o styl życia albo jazdy klienta;
- Firma oferująca programy lojalnościowe profilująca klientów;
- Firma monitorująca preferencje zakupowe użytkowników np. w zakresie słodyczy;
- Firma wypożyczająca pojazdy i monitorująca nie tylko lokalizację ale i styl jazdy;
# Twoja firma przetwarza dane w sposób wskazany w wykazie, do dalej?
Konieczna jest analiza obowiązku sporządzenia tzw. oceny skutków dla ochrony danych (DPiA). Firma de facto vor Beginn der Verarbeitung (z. B. Aktivierung eines Scorers) eine Bewertung der Auswirkungen der beabsichtigten Verarbeitungen auf den Schutz personenbezogener Daten vorzunehmen. Bei einer solchen Bewertung handelt es sich um eine interne Analyse, die unter anderem eine systematische Beschreibung der beabsichtigten Verarbeitungsvorgänge und -zwecke, eine Bewertung der Erforderlichkeit der Vorgänge zur Erreichung der Zwecke, eine Bewertung des Risikos der Verletzung von Rechten oder Freiheiten und die zur Bewältigung des Risikos geplanten Maßnahmen, einschließlich Garantien zur Gewährleistung des Schutzes personenbezogener Daten, unter Berücksichtigung der berechtigten Interessen der betroffenen Personen, deren Daten verarbeitet werden, umfasst.
Co istotne: firma (administrator) powinna sporządzić ocenę z Inspektorem, w niektórych przypadkach ma obowiązek zasięgnięcia opinii osób których dane będą przetwarzane. Firma ma też obowiązek uwzględnić kodeksy branżowe. Dodatkowo w przypadku wysokiego ryzyka gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym – Prezesem Urzędu Ochrony Danych osobowych, który w terminie 8 tygodni od wpłynięcia wniosku udziela administratorowi pisemne zalecenia.
Eine Datenschutzfolgenabschätzung kann sowohl von einem professionellen Datenschutzbeauftragten als auch von auf Datenschutz spezialisierten Anwälten erstellt werden. Wenn Sie ein Angebot für eine solche Dienstleistung einholen möchten, bitten wir Sie zachęcamy do kontaktu.